AWS Certified Cloud Practitioner(CLF-C02)では、似た名前のセキュリティ関連サービスを「役割」で見分けることが重要です。特に AWS Audit Manager、Amazon Detective、Amazon GuardDuty は混同しやすいですが、目的はかなり異なります。
結論を先に言うと、次のように整理すると覚えやすくなります。
- AWS Audit Manager:監査やコンプライアンス対応のために、証拠収集や評価を効率化する
- Amazon GuardDuty:AWS環境内の脅威や不審な挙動を検出する
- Amazon Detective:検出された問題を詳しく調査し、原因や影響範囲を分析する
まずは一言で区別する
| サービス | 一言でいうと | 主な目的 | 試験での見分け方 |
|---|---|---|---|
| AWS Audit Manager | 監査証拠を集めるサービス | リスク管理・監査・コンプライアンス対応の効率化 | 「証拠」「監査」「準拠」「レポート」が出たら最有力 |
| Amazon GuardDuty | 脅威を見つけるサービス | 継続的な脅威検出 | 「不審なアクティビティを自動検出したい」で有力 |
| Amazon Detective | 見つかった問題を調べるサービス | セキュリティインシデントの分析と根本原因調査 | 「検出後に詳しく調査したい」で有力 |
用語を短く整理する
- 監査:ルールや基準に沿って運用されているかを確認すること
- コンプライアンス:法令や業界標準、社内規程などに準拠している状態
- 脅威検出:攻撃や異常な挙動の兆候を見つけること
- 根本原因調査:何が起点で問題が発生したのかを追跡すること
AWS Audit Managerとは
AWS Audit Manager は、AWS利用状況を継続的に監査し、証拠収集を自動化して、コントロールへの準拠を示しやすくするサービスです。監査対応では、本来は複数のサービスから証拠を手作業で集める必要がありますが、Audit Manager はその作業を効率化します。
試験対策として大事なのは、Audit Manager は脅威を検出するサービスではないという点です。目的は「攻撃を見つけること」ではなく、監査・評価・証拠整理です。
たとえば、「社内監査や外部監査に備えて、AWS環境の証拠を集めたい」「コンプライアンス対応のレポート作成を効率化したい」といった要件なら、Audit Manager が候補になります。
Amazon GuardDutyとは
Amazon GuardDuty は、AWS環境内のデータソースやログを継続的に分析し、疑わしいアクティビティや悪意のある可能性がある動きを検出する脅威検出サービスです。脅威インテリジェンスや機械学習を使って、不正アクセスや不審な通信などを見つけます。
試験では、「継続的に監視して脅威を検出したい」という要件が出たら GuardDuty をまず考えるとよいです。
重要なのは、GuardDuty は「見つける」役割が中心だということです。つまり、GuardDuty は最初の発見に強いサービスです。
Amazon Detectiveとは
Amazon Detective は、セキュリティに関する検出結果や疑わしいアクティビティを分析し、根本原因を調べるためのサービスです。ログデータを自動収集し、可視化や関連分析によって調査を進めやすくします。
GuardDuty が脅威を見つけたあとに、「どのIAMエンティティが関与したのか」「どのリソースに影響が及んだのか」「いつから異常が始まったのか」といった調査をしたい場面では Detective が向いています。
つまり、Detective は発見後の深掘り調査に使うサービスです。
3サービスの違いを試験向けに整理する
1. Audit Manager と GuardDuty の違い
どちらもセキュリティ寄りに見えますが、役割が違います。
- Audit Manager:監査証拠を集め、準拠状況の確認を助ける
- GuardDuty:脅威や異常な挙動を検出する
「監査」「コンプライアンス」「証拠」「評価」なら Audit Manager、「脅威検出」「不審なアクティビティ」「継続監視」なら GuardDuty です。
2. GuardDuty と Detective の違い
この2つは試験で特に混同しやすい組み合わせです。覚え方はとてもシンプルで、GuardDuty は見つける、Detective は調べるです。
- GuardDuty:脅威の兆候を自動検出する
- Detective:その兆候の背景や影響範囲を分析する
問題文に「検出後に根本原因を調べたい」「セキュリティ調査を効率化したい」があれば Detective が有力です。
3. Audit Manager と Detective の違い
Audit Manager は監査・統制・証拠の世界、Detective はインシデント調査の世界です。どちらも「確認する」印象がありますが、対象がまったく違います。
- Audit Manager:監査対応のために証拠を整理する
- Detective:セキュリティイベントの原因を追う
試験でよくある選び方
パターン1:監査証拠を自動収集したい
答え:AWS Audit Manager
理由:監査やコンプライアンス対応のための証拠収集・評価を支援するサービスだからです。
パターン2:AWS環境の脅威を継続的に検出したい
答え:Amazon GuardDuty
理由:AWS環境のログやデータソースを分析し、不審なアクティビティを継続的に検出するサービスだからです。
パターン3:検出されたセキュリティ問題の原因を詳しく調べたい
答え:Amazon Detective
理由:関連するログやエンティティを分析し、根本原因調査を支援するサービスだからです。
試験直前に覚えるべきポイント
- AWS Audit Manager = 監査、証拠、コンプライアンス
- Amazon GuardDuty = 脅威検出、継続監視
- Amazon Detective = 調査、分析、根本原因
迷ったら、次の順で考えると整理しやすくなります。
- これは監査対応の話か
- 脅威を見つけたい話か
- 見つかった後を詳しく調べたい話か
この順で整理すれば、3サービスの違いはかなり判断しやすくなります。
まとめ
AWS Audit Manager、Amazon GuardDuty、Amazon Detective は、いずれもAWSのセキュリティやガバナンスに関わるサービスですが、役割は明確に異なります。
- 監査対応を効率化するのが AWS Audit Manager
- 脅威を検出するのが Amazon GuardDuty
- 検出後の調査を行うのが Amazon Detective
AWS Certified Cloud Practitioner では、細かな設定よりも「どの要件にどのサービスを当てるか」を見極めることが重要です。まずはこの3つを役割ベースで区別できるようにしておくと、正答率を上げやすくなります。
参考URL(AWS公式)
- https://docs.aws.amazon.com/ja_jp/audit-manager/latest/userguide/what-is.html
- https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/what-is-guardduty.html
- https://docs.aws.amazon.com/ja_jp/detective/latest/userguide/what-is-detective.html
- https://aws.amazon.com/certification/certified-cloud-practitioner/
- https://docs.aws.amazon.com/aws-certification/latest/examguides/aws-certification-exam-guides.html